Neue E-Privacy-Verordnung: Cookies nur mit Einwilligung?

Cookies – also Textdateien, die vor allem besuchte Websites und die Art ihrer Nutzung (z.B. bestimmte Inhalte der Website, die vom Nutzer favorisiert werden) im Webbrowser speichern – stehen seit geraumer Zeit im Spannungsfeld zwischen europäischer und nationaler Gesetzgebung. Die sog. E-Privacy-Richtlinie (2002/58/EG) zur Regelung des Datenschutzes im Rahmen der elektronischen Kommunikation wurde 2009 durch die E-Privacy-Richtlinie (2009/136/EG- sog. „Cookie-Richtlinie“) vor allem bezüglich der Speicherung und Nutzung von Daten auf End-Geräten der Nutzer angepasst und betrifft damit vor allem die Verwendung von Cookies. Diese Cookie-Richtlinie wurde jedoch in Deutschland trotz Ablaufs der entsprechenden Frist niemals in nationales Recht umgesetzt, sodass es zunächst weiterhin bei der Anwendung des nationalen Rechts für die Nutzung von Cookies bleibt. Spätestens 2018 sind die nationalen Regelungen ebenso wie die Cookie-Richtlinie von 2009 jedoch nicht mehr Grundlage für den rechtlichen Umgang mit Cookies in Deutschland und anderen Mitgliedstaaten, da im Dezember 2016 ein Entwurf für eine neue E-Privacy-Verordnung, die v.a. auch den Umgang mit Cookies regelt, geleakt wurde. Dieser Entwurf wurde zu einem offiziellen, im Januar 2017 vorgestellten, Entwurf weiterentwickelt. Unternehmen sollten diesen neuen Entwurf bei ihrer strategischen Ausrichtung zur Verwendung von Cookies berücksichtigen und die Unterschiede zwischen geleaktem und offiziellen Entwurf als Fingerzeig des europäischen Gesetzgebers für die Ausrichtung des europäischen Datenschutzes deuten. Wie ist die bisherige Rechtslage in Deutschland ausgestaltet? Bisher gilt in Deutschland gemäß § 13 Abs.1 S.2 TMG für die Verwendung von Cookies die sog. Opt-Out-Lösung, das heißt Unternehmen, die beim Aufrufen z.B. der eigenen Websites Cookies verwenden wollen, müssen Nutzer über die Verwendung von Cookies informieren und diesen die Möglichkeit geben, der Nutzung von Cookies zu widersprechen (§ 15 Abs.3 S.1,2 TMG). Dies geschieht bisher in der Regel durch sog. „Cookie-Banner“, die beim Aufrufen entsprechender Websites, die Cookies verwenden, eingeblendet werden. Da diese Regelung von der EU-Kommission für richtlinienkonform erklärt wurde, können Unternehmen bis 2018 entsprechend verfahren. In welchem Verhältnis steht die neue E-Privacy-Verordnung zur EU-DSGVO? Der Entwurf der neuen E-Privacy-Verordnung, der im Januar 2017 bekannt wurde und nun in das EU-Gesetzgebungsverfahren eingeht, ergibt in seinen Erwägungsgründen, dass die neue E-Privacy-Verordnung gegenüber der EU-Datenschutzgrundverordnung spezieller sein soll, wenn ihr Anwendungsbereich betroffen ist. Die rechtliche Regelung der Verwendung von Cookies dürfte sich daher ausschließlich nach der neuen Verordnung richten. Korrespondierend zur EU-DSGVO gibt Artikel 3 des Entwurfes für die neue E-Privacy-Verordnung vor, dass die Verordnung immer dann Anwendung findet, wenn sich die Endgeräte der Nutzer räumlich innerhalb der Europäischen Union befinden, unabhängig davon, ob die Datenverarbeitung oder Kommunikation in- oder außerhalb der EU stattfindet. Wie ist die Nutzung von Cookies im Entwurf zur neuen E-Privacy-Verordnung geregelt? Die Regelung der Nutzung von Cookies trifft Artikel 8 des geleakten wie auch des offiziellen Entwurfes und spricht sich dabei für ein grundsätzliches Verbot mit Einwilligungsvorbehalt, d.h. für eine Opt-In-Lösung aus (Artikel 8 Abs.1 b). Weitere zulässige Ausnahmen (neben der Einwilligung) vom grundsätzlichen Verbot zur Nutzung von Cookies bestehen, wenn die Erhebung von Daten vom Endgerät des Nutzers ausschließlich der Ermöglichung der Kommunikation bzw. der Übertragung der Kommunikation über ein elektronisches Kommunikationsnetzwerk dient (Artikel 8 Abs.1 a) und wenn die Erhebung von Daten vom Endgerät der Nutzers erforderlich ist, um einen Informationsdienst in Anspruch zu nehmen, dessen Benutzung der Nutzer ausdrücklich verlangt (Artikel 8 Abs.1 c). Cookies für Konfigurationszwecke sind somit zulässig. Die Erwägungsgründe des geleakten Entwurfes der Verordnung nennen als Beispiele für solche Dienste die Speicherung der Eingaben in Benutzerprofilen, etwa um Spracheinstellungen für zukünftige Nutzungen zu speichern. Gleiches gilt für die Warenkorbfunktion beim Online-Shopping. Welche Anforderungen gelten an die Erteilung der Einwilligung zur Nutzung von Cookies? Aufschluss über die Art und Weise, in der die Einwilligung erteilt werden kann, geben die Erwägungsgründe 20 – 24 sowie Artikel 9 des offiziellen Entwurfes. Dabei sind Unterschiede im Vergleich zum geleakten Entwurf von Dezember 2016 festzustellen: So wurde in letzterem v.a. die Einstellung in Web-Browsern (z.B. Google-Chrome, Mozilla-Firefox, Microsoft-Internet Explorer), wonach „accept all cookies“ eingestellt ist, dieser Einstellung jedoch widersprochen werden kann, grundsätzlich als nicht ausreichend für die Erteilung der Einwilligung nach Art. 8 Abs.1b eingeordnet. Vielmehr soll der Nutzer der Nutzung von Cookies aktiv in den Einstellungen das Browsers zustimmen, die Voreinstellung des Browsers die Nutzung solcher Cookies aber zunächst verbieten („Privacy by Design“, Art. 10 des geleakten Entwurfes). Sollten Web-Browser diese Möglichkeit des Opt-In schaffen, so wäre die Einblendung von Cookie-Bannern überflüssig. Der offizielle Entwurf weicht zwar nicht in der grundsätzlichen Opt-In-Ausrichtung, wohl aber bei ihrer technischen Umsetzung vom geleakten Entwurf ab. So werden zunächst neben Web-Browsern in den Erwägungsgründen des offiziellen Verordnungs-Entwurfes auch weitere Software-Applikationen angeführt, in deren Grundeinstellungen der Nutzung von Cookies von Dritt-Anbietern zugestimmt werden können soll, als Beispiele werden Telefon- und Messaging- Dienste genannt. Anbieter von Browsern etc. müssen daher („should have“) die Möglichkeit bereithalten, in den Grundeinstellungen Third-Party-Cookies zuzustimmen. Dabei muss eine abgeschichtete Auswahl an Privatsphäre-Einstellungen im Web-Browser angeboten werden. Nutzer sollen z.B. wählen können zwischen „always accept cookies “, „never accept cookies “oder „reject/only accept first party cookies “. Eine Vorgabe für die Voreinstellung entfällt somit. Die konkrete Ausgestaltung des Opt-In wird also dem Nutzer selbst überlassen, muss dabei aber nach den Erwägungsgründen des offiziellen Entwurfes so einfach und transparent wie möglich gestaltet sein. Artikel 10 des offiziellen Entwurfes ist jedoch im Vergleich zu Artikel 10 des geleakten Entwurfes von Dezember 2010 nicht mehr mit „Privacy by Design“ betitelt, was wohl Ausdruck der weniger strengen Anforderungen der Voreinstellungen in Browsern ist. Trotz des fehlenden Erfordernisses, der „negativen“ Voreinstellung bleibt eine ausdrückliche Zustimmung des Nutzers für Cookies erforderlich. Browser und andere Dienste müssen den Nutzer bei der ersten Installation auf dieses Erfordernis verweisen und umfassend über die Folgen der Zustimmung zur Nutzung von Cookies (z.B. das umfassende Tracking ihrer Daten für Zwecke der Direktwerbung) informieren (Artikel 10 Abs.1, 2 offizieller Entwurf der E-Privacy-Verordnung). Für Software, die zum vorgesehenen Zeitpunkt des Inkrafttretens der neuen Verordnung am 25.Mai 2018 bereits installiert war, sollen die genannten Anforderungen zum Zeitpunkt des ersten Updates nach diesem Datum nachgeholt werden, wobei letztmöglicher Termin hierfür der 25. August 2018 ist (Artikel 10 Abs.3). Zudem haben Nutzer gemäß Artikel 9 der Verordnung ein jederzeitiges Widerrufsrecht bezüglich der einmal erteilten Einwilligung, an das sie halbjährlich erinnert werden müssen. Im Übrigen richten sich die Anforderungen der erteilten Einwilligung gemäß Artikel 9 Abs.1 der neuen E-Privacy- Verordnung nach Art. 7 der EU-DSGVO. Welche Besonderheiten gelten für die Kommunikation im Rahmen der Industrie 4.0? Die Erwägungsgründe der neuen E-Privacy-Verordnung regeln die grundsätzliche Anwendbarkeit der E-Privacy-Verordnung für die Kommunikation im Rahmen des Internets der Dinge bzw. der Industrie 4.0 von Maschine- zu Maschine (etwa im Rahmen des Smart-Homes zwischen Kühlschrank und Smartphone) und stellen klar, dass die in diesem Zusammenhang vom Endgerät der Nutzer erhobenen Daten ebenfalls personenbezogene Daten im Sinne der EU-Datenschutzgrundverordnung darstellen können und daher die E-Privacy-Verordnung auch für diese Art der Kommunikation Anwendung findet. Daran anknüpfend enthält Artikel 8 Abs.2 des Entwurfes ein grundsätzliches Verbot der Erhebung der Daten, die durch die Maschine-Maschine-Kommunikation erhoben werden können. Eine Ausnahme von diesem Verbot besteht, wenn die Erhebung der Daten ausschließlich dafür genutzt wird um den Verbindungsaufbau zwischen den beiden Maschinen herzustellen (Artikel 8 Abs. 2a). Insoweit stimmen geleakter und offizieller Entwurf überein. Deutliche Abweichungen gibt es dagegen bezüglich Artikel 8 Abs.2b. Der geleakte Entwurf von Dezember 2016 sah hier noch eine Ausnahme vom Verbot des Trackings der Maschine-Maschine-Kommunikation vor, wenn die Erhebung Werbezwecken dient (Artikel 8 Abs.2 b). In diesem Fall war ein klarer, transparenter und deutlicher Hinweis über die Erhebung, deren Zweck und den Verantwortlichen erforderlich, sowie ein Hinweis darauf, welche Einstellungen Nutzer vornehmen können um die Datenerhebung zu minimieren. Artikel 8 Abs.2c des geleakten Entwurfes schrieb dabei vor, dass Unternehmen, die sich der Erhebung solcher Daten der Maschine-Maschine Kommunikation bedienen ein angemessenes technisches Sicherheitsniveau gemäß den Vorgaben des Art. 32 DSGVO gewährleisten müssen. Artikel 8 Abs.2b des offiziellen Entwurfes verlangt ebenfalls einen entsprechenden Hinweis gemäß den Anforderungen des Artikel 13 der DSGVO, allerdings ohne Bezug zu Werbezwecken. Die Hinweispflicht gilt damit bei jeder Maschine zu Maschine Kommunikation. Zudem verlangt der offizielle Entwurf ausdrücklich, dass der Hinweis nicht nur einen Hinweis auf Möglichkeiten zur Minimierung, sondern auch zur Beendigung der Erhebung von personenbezogenen Daten im Rahmen der Maschine-Maschine-Kommunikation enthalten muss. Zudem können Icons, die einen transparenten Überblick über die erhobenen Daten enthalten dem Hinweis hinzugefügt werden (Artikel 8 Abs. 3b). Die Anforderungen an das Sicherheitsniveau bleiben erhalten. Dürfen Mitgliedstaaten von der Cookies-Regelung der E-Privacy-Verordnung abweichen? Unter strenger Anwendung des Verhältnismäßigkeitsgrundsatzes dürfen Mitgliedstaaten gemäß Art.11 des geleakten und offiziellen Entwurfes Ausnahmen von Artikel 8 vorsehen, wenn der Schutz fundamentaler Rechtsgüter wie sie Artikel 23 der Datenschutzgrundverordnung auflistet (wie z.B. der nationalen Sicherheit) in Frage steht und der Kerngehalt des Artikels 8 dabei nicht verletzt wird. Gemäß Artikel 11 Abs.2 des offiziellen Entwurfes trifft Unternehmen dabei die Pflicht, auf gesetzlicher Grundlage staatlichen Stellen Zugang zu den Kommunikationsdaten von Nutzern zu gewähren und zudem auf Anfrage Informationen über die Umsetzung solcher Anfragen bereitzustellen. Handlungsempfehlung für Unternehmen Die Entscheidung für die Opt-In-Lösung bei der Verwendung von Cookies scheint eine Grundsätzliche zu sein, da sie sich zwischen geleaktem und offiziellem Entwurf nicht mehr verändert hat. Unternehmen sollten ihre Websites anpassen, sodass Browsereinstellungen berücksichtigt werden können. Die Erleichterung bei den Browser-Einstellungen, die im Vergleich beider Entwürfe bestehen, ermöglichen eine größere Bandbreite der Cookie-Nutzung, die von Unternehmen ebenfalls berücksichtigt werden sollte. Die Verwendung von Cookie-Bannern kann zur Absicherung der Opt-In-Lösung dienen, dürfte jedoch in den meisten Fällen nach 2018 entbehrlich werden und die erleichterte Benutzung von Websites ermöglichen. Dies gilt natürlich nur dann, wenn die Anbieter der gängigen Internet-Browser ihre Produkte an die neuen Regelungen anpassen. Zu beachten sind die Bußgeldregelungen im offiziellen Entwurf der E-Privacy-Verordnung, die mit denjenigen in der DSGVO korrespondieren (Artikel 23 des offiziellen Entwurfes). Die strengeren Anforderungen an die Hinweispflicht im Rahmen der Maschine-zu-Maschine-Kommunikation sind unbedingt zu berücksichtigen. Insgesamt korrespondieren die E-Privacy-Verordnung und die EU-DSGVO beim Datenschutz im Rahmen der elektronischen Kommunikation und können daher als Rechtsgrundlage von Unternehmen konsistent verwendet werden. Die Absicht des Europäischen Gesetzgebers beide EU-Rechtsakte als sich ergänzende Neu-Regelung des Datenschutzes in Europa in ihrer Gesamtheit und Wechselwirkung heranzuziehen, wird durch die häufigen Verweise im offiziellen Entwurf der E-Privacy-Verordnung auf die EU-DSGVO deutlich.